รายงานพระราชบัญญัติการจัดการความปลอดภัยข้อมูลของรัฐบาลกลางฉบับล่าสุดที่รายงานต่อสภาคองเกรสแสดงให้เห็นว่าหน่วยงานต่าง ๆ เผชิญกับเหตุการณ์ด้านความปลอดภัยทางไซเบอร์มากกว่า 31,000 ครั้งในปี 2561 ซึ่งลดลง 12% จากปี 2560 ในขณะเดียวกัน ปี 2561 ยังเป็นปีแรกนับตั้งแต่มีการสร้าง ของเหตุการณ์สำคัญนั่นคือข่าวดีข่าวร้ายคือหน่วยงานยังคงต่อสู้กับสุขอนามัยไซเบอร์ขั้นพื้นฐาน OMB เผยแพร่ข้อมูลล่าสุดเกี่ยวกับเป้าหมายลำดับ
ความสำคัญของการปรับปรุงไอทีให้ทันสมัยข้ามหน่วยงาน
ซึ่งแสดงให้เห็นว่า 70% ของหน่วยงานพลเรือนทั้งหมดได้ดำเนินการจัดการสินทรัพย์ฮาร์ดแวร์ ซึ่งเพิ่มขึ้น 5% จากการ์ดรายงานก่อนหน้านี้OMB ยังกล่าวอีกว่า 83% ของหน่วยงานพลเรือนทั้งหมดได้ใช้การจัดการสินทรัพย์ซอฟต์แวร์ ซึ่งเพิ่มขึ้น 4% จากการ์ดรายงานก่อนหน้านี้
แม้ว่าจะดีกว่านี้ ตัวเลขเหล่านี้แสดงให้เห็นว่าหน่วยงานต่างๆ ยังคงประสบปัญหาในการป้องกันพื้นฐานทางไซเบอร์บางประการ
Dan Fallon ผู้อำนวยการอาวุโสฝ่ายวิศวกรรมของรัฐบาลกลางของ Nutanix กล่าวว่าวิธีการปิดช่องว่างด้านความปลอดภัยทางไซเบอร์จำนวนมากคือการนำแนวคิดของการรักษาความปลอดภัยโดยธรรมชาติหรือความปลอดภัยโดยการออกแบบดั้งเดิมมาใช้
วิธีง่ายๆ ในการทำความเข้าใจแนวคิดนี้ Fallon กล่าวว่า ย้อนกลับไปในทศวรรษที่ 1990 เมื่อผู้คนเคยถกเถียงกันว่าคอมพิวเตอร์ของ Apple หรือ Windows ดีกว่ากัน
“ระบบปฏิบัติการของ Apple มีความปลอดภัยอยู่แล้ว คุณไม่จำเป็นต้องติดตั้ง Security Agent จำนวนมากใน Mac ระบบปฏิบัติการที่สร้างขึ้น บนแพลตฟอร์ม Linux มีการรักษาความปลอดภัยเพิ่มเติมในระบบพื้นฐาน” Fallon กล่าวในIT Innovation Insider “ตัวอย่างเช่น หากคุณเข้าสู่ระบบในฐานะผู้ดูแลระบบ ซึ่งหมายความว่าหากผู้ไม่ประสงค์ดีเข้าถึงได้ พวกเขาก็สามารถใช้ประโยชน์ได้ Apple แจ้งให้คุณทำสิ่งต่างๆ เช่น ติดตั้งแอปพลิเคชัน นั่นคือตัวอย่างง่ายๆ Windows มีอากาศที่ดีขึ้น แต่เพียงไม่กี่รุ่นที่ผ่านมา อุปกรณ์ Apple ดีกว่ามากในการแจ้งเตือน อย่างน้อยผู้ใช้ก็รับรู้”
เขากล่าวว่าในขณะที่การถกเถียงยังคงเกิดขึ้นในปัจจุบัน
แนวคิดเรื่องความปลอดภัยโดยการออกแบบหรือการรักษาความปลอดภัยในสถาปัตยกรรมนี้กำลังเติบโตในหมู่ผู้ขายทั้งหมดท่ามกลางสาเหตุของการเปลี่ยนแปลงนี้ แม้จะเป็นการเปลี่ยนแปลงที่ช้า แต่ก็เป็นภัยคุกคามที่เพิ่มมากขึ้นต่อระบบและข้อมูล
Fallon กล่าวว่าทั้งหน่วยงานและผู้ขายเห็นคุณค่าของการทำให้สุภาษิตโบราณว่า “ดีกว่าสร้างความปลอดภัย ดีกว่ายึดตามความเป็นจริง”
“การออกแบบที่ปลอดภัยช่วยลดภาระให้กับเอเจนซี่ได้มากขึ้น ช่วยประหยัดเวลาและเงินโดยผู้ขายรับผิดชอบผลิตภัณฑ์มากขึ้น ดังนั้นนโยบายและคุณลักษณะด้านความปลอดภัยของคุณจึงอยู่ในระบบเมื่อคุณนำออกจากกล่อง” เขากล่าว “นั่นเป็นการประหยัดต้นทุนและเวลาอย่างมาก นั่นหมายถึงเวลาที่รวดเร็วยิ่งขึ้นในการปรับใช้เพื่อให้บรรลุภารกิจ”
เพื่อนำแนวคิดนี้ไปใช้จริง Fallon กล่าวว่าผู้ขายต้องเลิกใช้หลักเกณฑ์ด้านความปลอดภัยจาก National Institute of Standards and Technology หรือ Defense Information Systems Agency เป็นส่วนเสริม “กำหนดเอง” หลังจากผู้ขายติดตั้งผลิตภัณฑ์แล้ว
สิ่งที่เอเจนซี่และผู้ขายต้องทำคือทำตามโมเดลของผู้ให้บริการซอฟต์แวร์ในรูปแบบคลาวด์ที่ผลิตภัณฑ์มีความปลอดภัยตั้งแต่แกะกล่อง
“มีข้อผิดพลาดของมนุษย์มากมายในคนที่อ่านสเปรดชีตทีละบรรทัดโดยพยายามจับคู่กับการควบคุมความปลอดภัย แต่ถ้าผลิตภัณฑ์มีอยู่แล้ว คุณจะรู้ว่าผลิตภัณฑ์ทั้งหมดในศูนย์ข้อมูลของคุณมีพื้นฐานพื้นฐานนั้นอยู่” Fallon กล่าว “เราทราบดีว่าลูกค้าเชิงพาณิชย์ของเราไม่ต้องการทำตามคำแนะนำรหัสผ่าน DoD 14 อักขระ เราถือว่าระบบต้องการมีพื้นฐานการรักษาความปลอดภัยเดียวกันและให้ลูกค้าเชิงพาณิชย์ทั้งหมดที่มีมาตรการรักษาความปลอดภัยที่ยอดเยี่ยมที่รัฐบาลกลางจัดหาให้เพราะมันเป็นประโยชน์ต่อพวกเขาเช่นกัน มีบางสิ่งที่เหนือกว่าเล็กน้อย เช่น กฎของ DoD ที่มีคำแนะนำเกี่ยวกับรหัสผ่านและป้ายเตือน เรามีกล่องกาเครื่องหมายที่เปิดใช้คุณสมบัติเหล่านั้น คุณสร้างสมดุลระหว่างความปลอดภัยกับการใช้งานอย่างต่อเนื่อง”
โครงการ Federal Risk Authorization Management (FedRAMP) ได้ช่วยผลักดันให้ความต้องการเปลี่ยนไปสู่การรักษาความปลอดภัยด้วยการออกแบบ
“เมื่อคุณดูในสถานที่ในระบบคลาวด์ส่วนตัว นั่นเป็นเหตุผลสำคัญว่าทำไมคุณจึงเห็นผลิตภัณฑ์จำนวนมากขึ้นที่มีคุณลักษณะด้านความปลอดภัยที่สร้างขึ้นมา พวกเขาต้องตามให้ทันกับโมเดลคลาวด์” ฟอลลอนกล่าว “แต่ถึงแม้จะอยู่ในระบบคลาวด์ ก็ยังคงเป็นความรับผิดชอบร่วมกันที่ยิ่งใหญ่ ผู้ให้บริการระบบคลาวด์ไม่ได้เป็นเจ้าของชุดความปลอดภัย 100% พวกเขารับผิดชอบโครงสร้างพื้นฐานพื้นฐาน”
ฟอลลอนกล่าวว่าหน่วยงานต่างๆ ยังต้องวางเครื่องมือบางอย่างเมื่อใช้คลาวด์เชิงพาณิชย์เพื่อปรับปรุงการกำกับดูแลในการติดตามข้อกำหนดด้านความปลอดภัยจาก NIST หรือ DISA
Credit : ยูฟ่าสล็อต